各位老铁们，大家好，今天由我来为大家分享LDAP构建统一认证服务，以及的相关问题知识，希望对大家有所帮助。如果可以帮助到大家，还望关注收藏下本站，您的支持是我们最大的动力，谢谢大家了哈，下面我们开始吧！

英文名

中文名

评论

DN

杰出的名字

尊贵的名字

表示条目在目录树中从根开始的绝对路径，是条目的唯一标识符。

直流

域名

域名

欧

组织单位

组织单位

最多可以有四级，每级最多32个字符，并且可以是中文

CN

通用名

用户名

LDAP的构建和使用

1. 安装ldap服务端及工具集

slapd是服务器程序，ldap-utils是工具集（ladpmodify、ldapadd等）

apt 安装slapd ldap-utils

2. 重设密码和DN等信息

dpkg-重新配置slapd

3. 配置支持memberOf模块

由于有些应用需要memberOf支持，所以我们需要在开头添加这个模块，以便后面使用的时候可以直接使用。本节包含参考链接。

首先，您需要创建三个新文件。您可以创建一个新目录，即memberof_config.ldif、refint1.ldif 和refint2.ldif。特别注意的是，在执行此操作之前，您需要获取几个参数。

查询ldap配置db文件。 ldapsearch -Q -LLL -Y 外部-H ldapi:///-b cn=config dn | grep db 查询ldap 模块路径。查找/usr/-name ldap

新建memberof_config.ldif，注意将olcDatabase和olcModulePath修改为上面查询的结果。

# vim memberof_config.ldifdn: cn=module,cn=configcn: moduleobjectClass: olcModuleListolcModuleLoad: memberofolcModulePath: /usr/lib/ldapdn: olcOverlay={0}memberof,olcDatabase={1}mdb,cn=configobjectClass333 60 olcConfigobjectClass3336 0 olcMemberOfobjectClass: olcOverlayConfigobjectClass: topolcOverlay: memberofolcMemberOfDangling:ignoreolcMemberOfRefInt: TRUEolcMemberOfGroupOC: groupOfNamesolcMemberOfMemberAD: memberolcMemberOfMemberOfAD : memberOfnew refint1 .ldif。

# vim refint1.ldifdn: cn=module{1},cn=configadd: olcmoduleloadolcmoduleload: refint 创建refint2.ldif。您还需要注意修改olcDatabase 以匹配上述查询的db 结果。

# vim refint2.ldifdn: olcOverlay={1}refint,olcDatabase={1}mdb,cn=configobjectClass: olcConfigobjectClass: olcOverlayConfigobjectClass: olcRefintConfigobjectClass: topolcOverlay: {1}refintolcRefintAttribute: memberof member manager Owner 运行以下命令来配置模块成员。

ldapadd -Q -Y EXTERNAL -H ldapi:///-f memberof_config.ldif 运行以下命令加载并配置refint 模块。

ldapmodify -Q -Y EXTERNAL -H ldapi:///-f refint1.ldifldapadd -Q -Y EXTERNAL -H ldapi:///-f refint2.ldif

4. 测试模块是否添加成功（生产环境不需要执行）

首先添加两个节点来存储用户和用户组。创建一个新的配置文件add_nodes.ldif。注意将dn的值修改为你自己的。

# vim add_nodes.ldifdn: ou=people,dc=zhushurui,dc=cnobjectClass:organizationalUnitou: Peopledn: ou=groups,dc=zhushurui,dc=cnobjectClass:organizationalUnitou:Groups执行以下命令使配置生效。注意dc被修改，输入密码后执行成功。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_nodes.ldif 添加用户，首先设置用户密码。

slappasswd -h {SHA} -s my_secret_password 结果如下：

{SHA}M6XDJwA47cNw9gm5kXV1uTQuMoY=新建配置文件add_user.ldif如下，添加用户，特别注意修改你的dn。

# vim add_user.ldifdn: uid=john,ou=people,dc=zhushurui,dc=cncn: John DoegivenName: Johnsn: Doeuid: johnuidNumber: 5000gidNumber: 10000homeDirectory: /home/johnmail3336 john.doe @example.comobjectClass: topobjectClass: posixAccountobjectClass: ShadowAccountobjectClass: inetOrgPersonobjectClass:organizationalPersonobjectClass: personloginShell: /bin/bashuserPassword: { SHA }M6XDJwA47cNw9gm5kXV1uTQuMoY=执行以下命令添加用户。您需要将dc和cn修改为您的管理员帐户。默认情况下，你只需要修改dc，然后输入你的管理员密码即可。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_user.ldif新建一个配置文件add_group.ldif，添加用户组，特别注意修改你的dn和member。

# vim add_group.ldifdn: cn=mygroup,ou=groups,dc=zhushurui,dc=cnobjectClass: groupofnamescn: mygroupdescription: All usersmember: uid=john,ou=people,dc=zhushurui,dc=cn执行以下命令添加用户组，这也需要待修改。 dc 和cn。输入密码后，添加成功。

ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_group.ldif 接下来查询用户是否配置了memberof模块。

ldapsearch -x -LLL -H ldap:///-b uid=john,ou=people,dc=zhushurui,dc=cn dn memberof

5. 安装phpldapadmin

phpldapadmin 可用于管理ldap。执行以下命令安装软件。

此时访问http://ip/phpldapadmin/即可访问apt install phpldapadmin。我们需要修改配置文件。

vim /etc/phpldapadmin/config.php 注意以下设置。第一句表示不会允许匿名用户登录，第二句只会允许管理员登录，第三句会修改登录页面默认填写的用户名，第四句会让phpldapadmin识别默认dn。

$servers-setValue(‘login’,’anon_bind’,false);$servers-setValue(‘login’,’allowed_dns’,array(‘cn=admin,dc=zhushurui,dc=cn’));$servers- setValue(‘login’,’bind_id’,’cn=admin,dc=zhushurui,dc=cn’);$servers-setValue(‘服务器’,’base’,array(‘dc=zhushurui,dc=cn’) ）；

6. 使用phpldapadmin新增用户和用户组

7. 安装和使用ldap-account-management（可选）

尝试后不建议使用。好像存在字段不全等问题。执行以下命令进行安装。

apt install ldap-account-manager 访问http://ip/lam 登录系统。然后按照下面的动画完成初始配置。初始化密码为lam。

配置服务器设置。

配置帐户。

——珀西·C 撰写

2021 年12 月14 日

用户评论

搞搞嗎妹妹

看完这篇文章感觉真是太棒了！一直想学习搭建 LDAP 认证，现在终于有了清晰的方向！你讲得真的清晰易懂，关键点都交代清楚了，比网上其他教程更容易理解。

    有18位网友表示赞同！

稳妥

LDAP 搭建统一认证确实很不错啊，能让企业管理用户身份更加规范和安全。 我之前的公司也是用 LDAP 管理的，感觉挺方便的，可以集中管理用户信息，权限控制也更灵活！不过搭建的过程还是相对比较复杂的吧？

    有7位网友表示赞同！

伤离别

LDAP 真是神器啊! 我们公司项目需要统一认证，搭建 LDAP 能彻底解决用户账号共享、安全验证等难题。这篇文章讲得很好，就是配置部分稍微有些细节没提到啊。

    有11位网友表示赞同！

无所谓

说句实话，这类型的文章我实在是浏览不下去！太多专业的术语了，我不太懂。能不能用更通俗易懂的语言解释一下？

    有19位网友表示赞同！

桃洛憬

LDAP 听起来很复杂的样子，我感觉这种技术还是需要专业的人士来操作吧？普通人想了解一下，还蛮难啃的。 这篇文章写的比较干货了，但也比较深奥…

    有19位网友表示赞同！

浅嫣婉语

LDAP 搭建挺麻烦的，我的公司最近正好在考虑这个问题，这篇文章给了我很大的帮助！特别是部署的过程详细讲解，可以帮我们参考配置环境。

    有8位网友表示赞同！

怪咖

我之前一直是使用微信公众号进行身份认证的，但随着业务发展，这种方式已经够不着了。听说 LDAP 可以支持更多第三方应用，或许这才是真正意义上的统一认证机制？

    有12位网友表示赞同！

别在我面前犯贱

LDAP 的好处我知道不少，比如安全性高、可管理性强等。但是现实中很多公司又会遇到各种各样的挑战，比如成本、操作复杂度，这也让人有点犹豫…

    有6位网友表示赞同！

米兰

文章写的不错，把 LDAP 的优点和局限性都阐述的清晰。不过我更想了解一下，在实际项目中，如何选择合适的 LDAP 方案？哪个产品更加成熟可靠呢？

    有15位网友表示赞同！

病态的妖孽

我一直都是对这种技术一知半解的状态，看了你的文章才稍微有点了解了。希望以后能多分享一些简单易懂的内容，让我这个小白也能慢慢学习！

    有13位网友表示赞同！

灬一抹丶苍白

LDAP 用在哪 kind of scenario ？ 我想听听你举例说明一下! 比如说哪些行业的公司特别需要 LDAP 的？

    有11位网友表示赞同！

凝残月

这篇文章内容真不错！让我对 LDAP 有了一个更清晰的认识。之前总是感觉 LDAP 很神秘，现在看来，它其实就是一种高效、安全的身份验证系统!

    有19位网友表示赞同！

汐颜兮梦ヘ

搭建LDAP 我以前也尝试过，不过最终因为各种原因放弃了。 看来还是自己技术能力不足啊… 这篇文章给了我很大的借鉴意义， 以后有机会再尝试一次！

    有18位网友表示赞同！

顶个蘑菇闯天下i

统一认证服务确实很重要， LDAP 可以帮助企业实现更加集中化管理。但是如果公司规模不是特别大，是不是用更简单的身份认证方式就足够了？ 例如： OAuth 或 SAML ?

    有18位网友表示赞同！

孤廖

LDAP 的安全性还是非常高的，能够有效防止恶意攻击。不过，同时还需要注意其他方面的安全措施，比如定期更新软件漏洞，加强用户教育等。

    有10位网友表示赞同！

有一种中毒叫上瘾成咆哮i

LDAP 作为一种成熟的认证协议，确实值得我们认真学习和使用。 这篇文章写的很全面，对初学者来说帮助很大！

    有15位网友表示赞同！

权诈

搭建 LDAP 系统需要一定的技术水平， 如果企业没有专门的人员负责维护，可能会带来一些麻烦。 比如：系统故障、数据备份等问题。

    有18位网友表示赞同！